Chuyển tiền không báo mã OTP

Ngày 2/3/2021, nhận được phản ánh về việc thẻ visa có số tài khoản 19033xxxxxxxxx của khách hàng Trần Tuấn Việt tại Techcombank bị trừ gần 6 triệu đồng không rõ nguyên nhân. Theo đó, cá nhân anh không thực hiện giao dịch nào thời điểm 00:54 phút sáng 2/3 nhưng vẫn bị chuyển đi 5.750.000 đồng từ thẻ Visa do Techcombank phát hành. Quá trình thực hiện giao dịch này hoàn toàn không có mã OTP thông báo về số điện thoại để khách hàng nhận và biết được, cụ thể:

“Sáng nay tôi dậy thì thấy thẻ bị trừ 5.750.000 đồng vào 00:54 phút ngày 2/3/2021 mà không biết vì sao bị trừ. Trong đó, việc giao dịch thành công thì phải nhập mã OTP nhưng cá nhân lại không hề được thông báo về mã mà tài khoản vẫn bị trừ lặng lẽ và nhân viên phòng giao dịch giải thích nếu khách hàng để lộ mặt trên của thẻ (số thẻ) cũng đã tạo cơ hội cho kẻ xấu lợi dụng được”, lược trích cảnh báo của anh Việt về việc không cần mã OTP vẫn có thể bị mất tiền trong tài khoản.

Giao dịch thực hiện thành công thời điểm 00:54 phút ngày 2/3 và nghi vấn hack.

Đồng quan điểm, nhiều facebooker, bình luận: Vừa làm thẻ Visa nhưng thấy không an toàn vì không cần mật khẩu có thể vào rút hết tiền, đang tính hủy; thanh toán phí tại quầy xong khoảng 1 phút sau mới có tin nhắn báo về; chỉ cần 6 số đầu và 4 số cuối là có thể lấy được tiền; để lộ 3 số CVV (Card Verification Value) đằng sau thẻ là mất; nhân viên ngân hàng nói thế là không chấp nhận được vì khi phát hành thì phía ngân hàng cũng biết 3 số CVV hoặc đã in trên mặt thẻ thì kiểu gì chả lộ, khi thanh toán thì bất kỳ nhân viên thu nhân nào cũng dễ dàng biết được số thẻ, mà thẻ được dùng biết bao lần, bao nhiêu nơi nên nhân viên ngân hàng trả lời lỗi do khách hàng để lộ là không được…

Hay từ Facebook có tên Huong Huong tự nhận làm ngân hàng, chia sẻ: “ Với thẻ quốc tế khi giao dịch ngoài số thẻ ra còn phải cố số CVV (mặt sau thẻ). Và, hiện nay tại các ngân hàng Việt Nam khi giao dịch đều yêu cầu xác thực OTP nên không có chuyện giao dịch không có OTP vẫn được xác nhận… ”.

Quá trình thực hiện giao dịch không được báo mà OTP.

Đề làm rõ sự việc phóng viên tòa soạn Doanh nghiệp & Đầu tư đã liên hệ tìm hiểu về các nội dung: Nghi vấn tài khoản anh Trần Tuấn Việt bị hack, giao dịch không báo mã OTP, hệ thống thanh toán có tồn tại lỗ hổng/lỗi kỹ thuật, phương thức ngăn chặn và công tác đảm bảo an toàn, bảo mật giao dịch thẻ năm 2020.

Sau nhiều ngày, phía Techcombank chỉ phản hồi là khách hàng đang thực hiện tra soát với Google và không đề cập tới các nội dung khác có liên quan. Như vậy, Techcombank đã không đóng vai trò nào trong việc tìm ra nguyên nhân để khắc phục mà ỷ lại cho người dùng? Và, thiệt hại này được tính cho ai?

Mất 6 giây đề hack?

An ninh trực tuyến, đặc biệt là an ninh trong các giao dịch ngân hàng một lần nữa bị đặt trong vòng nguy hiểm khi chỉ mất khoản 6 giây để hack rất nhiều các thông tin của chủ thẻ tín dụng visa.

Tháng 12/2016, các nhà nghiên cứu bảo mật tại Đại học Newcastle (Anh) đã thực hiện một thử nghiệm an ninh về mức độ an toàn và bảo mật của các hệ thống thanh toán trong đó có thẻ Visa. Kết quả thử nghiệm, nhóm nghiên cứu chỉ mất 6 giây cùng các công cụ phân tích để lấy được thông tin số thẻ Visa hoặc thẻ ghi nợ, ngày hết hạn, mã bảo mật.

Theo Slashgear, lỗi bảo mật được các chuyên gia chỉ ra nằm ở sự quản lý bảo mật lỏng lẻo trong hệ thống thanh toán Visa.

Mất khoảng 6 giây để hack tài thẻ Visa.

Có hai vấn đề được các nhà khoa học phát hiện liên quan tới hệ thống thanh toán Visa. Thứ nhất, việc thẻ Visa không giới hạn số lần nhập mã bảo mật thất bại. Điều này vô tình tạo ra sơ hở cho nhiều chương trình máy tính có thể lợi dụng để tiên toán mã bảo mật mà không bị lo khóa tài khoản; thứ hai, hệ thống thanh toán của Visa vẫn tồn tại lỗi cho phép tấn công bằng kỹ thuật Distributed Guessing Attack.

Thông thường, các giao dịch trực tuyến sẽ yêu cầu những trường dữ liệu khác nhau liên quan đến số thẻ, ngày hết hạn và mã bảo mật thẻ. Như vậy khi đăng nhập tài khoản nhiều lần, một chương trình máy tính có thể đoán bằng cách kết hợp tất cả các trường dữ liệu đó từ các website khác nhau để có được một bộ thông tin đầy đủ về thẻ tín dụng.

Đáng quan ngại, tốc độ đoán và lấy thông tin thẻ Visa chỉ mất chưa đầy 6 giây. Thậm chí ngay cả khi không có số thẻ, máy tính cũng chỉ mất 60 lần thử để đoán thành công hạn sử dụng, trong khi số CVV cũng chỉ mất chưa đầy 1000 lần đoán. Toàn bộ các câu lệnh đoán thông tin của máy tính đều không bị Visa phát hiện và ngăn chặn.

Chuyên gia bảo mật Lê Nguyên Khang tiết lộ, giới tin tặc trong nước và quốc tế ưa thích việc hack các trang web mua hàng trực tuyến. Người dùng thông thường ít khi kiểm tra domain của các trang mua sắm nên không nắm được việc đó có hay không là trang web giả mạo. Đôi khi, hacker xâm nhập vào công cụ Internet Banking, thay đổi thông tin tài khoản nhận thanh toán, và đánh cắp tiền.

Không giao dịch được và nguy cơ bị kiện?

Chưa dừng lại ở việc giao dịch không cần mã OTP, chiều ngày 15/3/2021, Techcombank một lần nữa làm nhiều khách hàng “chỉ muốn nổi điên” khi hàng loạt giao dịch không thực hiện được và Techcombank đang đứng trước nguy cơ bị kiện ra tòa.

Theo bà H.T.B – khách hàng V.I.P 2 Techcombank, cho biết: “Từ chiều không thể chuyển khoản giao dịch online gì ở ngân hàng Techcombank, gần 4 tiếng đồng hồ không thực hiện được bất kỳ giao dịch nào khiến công việc kinh doanh bị ảnh hưởng nghiêm trọng. Đối tác thì không có thời gian để đợi ngân hàng khắc phục mà sẽ mua của người khác, thực sự chán cách làm  việc của hệ thống ngân hàng Techcombank.”.

Lỗi Bad Request mã 100400.

Sự việc chiều ngày 15/3/2021 vừa qua cho thấy hệ thống thanh toán của ngân hàng Techcombank tồn tại nhiều vấn đề về kỹ thuật, lỗi “Bad Request (mã 100400)”. Việc làm mất cơ hội kinh doanh của khách hàng được xem là lỡ chi phí cơ hội trong kinh doanh và có thể phải chịu bồi thường về tinh thần, kinh tế.

Trước sự việc như vậy, Phóng viên đã liên hệ tới Techcombank và chỉ nhận được câu trả lời vẻn vẹn là đã thông báo trên fanpage. Tìm hiểu trên fanpage, Techcombank đưa ra thông báo vào chiều muộn ngày 15/3 và xác nhận có lỗi như phản ánh, đồng thời gửi lời xin lỗi tới khách hàng, mong được thông cảm.

Tuy nhiên, qua các bình luận cho thấy phía Techcombank cũng thiếu tôn trọng khách hàng khi không trả lời bất kỳ phản hồi nào, liên tục tắt máy hotline, website vẫn lỗi ngay cả khi Techcombank thông báo đã xử lý xong lỗi.

Từ Liêm CDC – Ánh Nguyệt